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(57) Abstract 

The invention concerns a method for controlling the use of a data service transmitted by a central platform transmitting for paging 
receivers operating with credit unit account, said service consisting in transmitting data in the form of messages, characterised in that it 
comprises the following steps consisting in: encrypting at least part of the data prior to transmission; broadcasting the encrypted data in a 
message comprising the address of a group of paging receivers; receiving and storing the message on the basis of the user profile contained 
in the paging receiver and/or a user card (PSIM); decrypting and displaying at least part of the message provided that it is possible to debit 
by a corresponding amount said credit unit account contained in a card or in the paging receiver. 

(57) Abrege* 

La presente invention concerne un procede* pour le contrdle de Tutilisation d'un service d'information emis par une plate-forme 
centrale emettrice a destination de messageurs fonctionnant a l'aide d'un compte d'unitS de enfdit, ledit service consistant en remission 
d'information sous forme de messages. II est caracteris6 en ce qu'il comporte les Stapes suivantes selon lesquelles: on chiffre au moins 
en partie V information piealablement a remission; on diffuse 1* information chiffree dans un message comportant I'adresse d'un groupe 
de messageurs; on recoil et stocke le message en fonction d'un profil d'utilisateur contenu dans le messageur et/ou une carte utilisateur 
(PSIM); on dechiffre et visualise au moins une partie du message a condition de pouvoir arbiter d'un montant correspondant ledit compte 
d 'unites contenu dans une carte ou dans le messageur. 
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Procede pour le controle de Putilisation d'un service d'information emis 
par une plate-forme centrale a destination de messageurs. 

La presente invention concerne un procede pour le controle de 1' utilisation 
d'un service d'information emis par une plate-forme centrale emettrice a destination 
5 de messageurs fonctionnant a Paide d'un compte d'unite de credit, ledit service 
consistant en remission d'information sous forme de messages. 

La presente demande a notamment pour objet de preciser et de completer 
certains aspects de la demande de brevet FR 96 13370 deposee le 5 juillet 1997 sur 
l'utilisation d' une carte a puce pour le controle d'un systeme de radio messagerie. Elle 
10 est incluse par reference. 

Parmi les precedes de ce type, on connait un procede qui utilise plusieurs 
adresses dediees a des services particuliers. Selon ce procede, lorsqu'un operateur 
vend, sous la forme d'un abonnement mensuel, des screes d'information, il peut 
diffuser chaque type d'information a une adresse donnee. Par consequent, il y a 
15 1'adresse dediee par exemple aux cours de la bourse, Tadresse dedi6e a la meteo. 

Lorsqu'un utilisateur acquiert un messageur, il s'abonne a un certain nombre 
des services offerts par Toperateur. L'operateur lui remet un messageur contenant une 
adresse privee, et les adresses des services souscrits. 

Ceci impose a un operateur, lorsqu'un utilisateur desire modifier la liste des 
20 services auxquels il est abonne, une lourde et couteuse reconfiguration de son 
recepteur (renvoye au point de vente, voire a Tusine). En outre, ce systeme ne protege 
pas l f op6rateur dans le cas d'un utilisateur cessant de regler son abonnement (Aucun 
moyen d'empecher Tutilisateur de cesser de recevoir le service). 

Actuellement, les operateurs utilisent differentes techniques pour vendre des 
25 services, d'autant plus que les messageurs actuels offrent rarement plus de quatre 
adresses. Les operateurs ont notamment recours a 1'enyoi individuel des services, a 
1'adresse privee, selon les options d' abonnement souscrites par chaque utilisateur, 
Pavantage etant la souplesse, et Pinconvenient etant Putilisation d'une bande passante. 
La presente invention a pour objectif de pallier aux inconvenients prdcites. 
30 La presente invention a egalement et principalement pour objectif de proposer 
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un moyen plus souple, plus sur et plus efficace sur le plan de la vente des services, que 
tous les moyens connus aujourd'hui. 

A cet effet, Tinvention a pour objet un precede caracterisee en ce qu'il 
comporte les etapes suivantes selon lesquelles: 
5 - on chiffre au moins en partie Information prealablement a remission, on 

diffuse T information chiffree dans un message comportant Tadresse d'un groupe de 
messageurs, on re<?oit et stocke le message en fonction d'un profil d'utilisateur contenu 
dans le messager et/ou une carte utilisateur (PSIM), on dechiffre et visualise au moins 
une partie du message a condition de pouvoir debiter d'un montant correspondant ledit 
10 compte d'unites contenu dans une carte ou dans le messager, 

- Selon des variantes de mise en oeuvre, le message peut etre re?u dans le 
messageur ou dans la carte PSIM; de preference, on dechiffre et/ou visualise sous 
condition d'une action volontaire de consultation d'un service par P utilisateur ; Selon 
d'autres variantes de mise en oeuvre le message « achete » done dechif&6 peut etre 

15 stocke dans le messageur ou la carte PSIM; 

- on effectue une reconfiguration du messageur et/ ou de la carte d'utilisateur 
(PSIM), en particulier du profil utilisateur par Remission de commandes executables 
de reconfiguration par voie radio a partir de ladite plate-forme centrale; le cas 
echeant, on peut egalement reconfigurer certains menus d'affichage du messageur, 

20 notamment ceux permettant de guider I'utilisateur vers les services offerts par 
l'operateur, 

- pour chaque messageur, on utilise au moitis deux cles de chiffrement, une cle 
secrete generique partagee par tous les messageurs pour le chiffrement et 
dechiffrement des messages et une cle personnelle propre a chaque utilisateur pour 

25 chiffrer et dechiffrer des commandes executables de reconfiguration et/ou 
rechargement d'unites; 

- on porte a la connaissance de Tutilisateur, en particulier par affichage, une 
partie non chiffree du message tandis qu'au moins l'autre partie chiffree est stockee; 
altemativement, on peut stocker le message entier (partie chiffree et partie en clair), la 

30 partie en clair pouvant etre delivree automatiquement ou sur action volontaire de 
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Tutilisateur aprte avertissement, par exemple sonore; 

- le message comporte une entete comprenant son prix et sa categorie pour 
classifier le message et son prix a T aide d'une table de services d'information (SAV) 
disponible en permanence dans le messageur ou dans la carte PSIM; 

5 - la plate-forme est apte a generer de nouvelles cles secretes generiques et/ou 

cles personnelles et a les transmettre de fa9on securisee par voie radio pour etre 
chargees dans un module de securite (PSAM) de chaque messageur et/ou carte 
d'utilisateur; 

- chaque profil utilisateur est stocke dans la plate-forme centrale ainsi que dans 
10 le module de securite du messageur et/ou carte d' utilisateur (PSIM); 

- les messages chiffres sont d'abord stockes dans une memoire du messageur, 
puis sur demande de Tutilisateur transfere au PSIM pour dechiffrement, puis delivres 
dechiffres a V utilisateur, ledit compte etant debite avant le dechiffrement par le PSIM; 
le dechiffrement du message ne s'effectue pas necessairement dans la PSIM; cette 

15 derniere peut simplement transmettre au messageur la cle << temporaire » pennettant de 
dechiffrer un message doime et unique. 

- le rechargement d'unites est effectue sur demande periodique de Tutilisateur 
aupres d'un centre de ^service et sur communication d'un identifiant; 

- ledit centre de service tient a jour un indice/ table de consommation 
20 periodique par messageur et/ou par utilisateur; 

- on commande T arret ou le fonctionnement du messageur en cas de demande 
de rechargement insuffisant par unite de temps etabli par chaque indice. 

Description. 

25 La description qui va suivre apporte des precisions et complements a la 

demande de brevet FR 96 13370. Le module de securite applicatif decrit ci-apres 
pourra etre compris dans le messageur ou dans la carte. II aura les caracteristiques 
detaillees dans le brevet en question. 
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Modification 1: 

Le reseau d' emission des messages radio pourra etre connecte a une plate- 
forme de formatage des messages a envoyer. Cette plate-forme pourra egalement 
emettre des commandes interpretables par le microprocesseur du messageur. 
5 Cette plate-forme a les fonctions ci-apres. 

Conformement a P invention, elle a pour fonction de chiffrer certains messages 
avant qu'ils ne soient transmis par voie radio.(Le chiffrement avant emission des 
messages est prevu dans la demande de brevet precitee mais on ne parle pas de la 
plate- forme). Les messages chiffres pourront etre des messages numeriques ou 

10 alphainumeriques prives, adresses a un unique destinataire, ou bien pourront etre des 
informations payantes d'interet general (comme des informations sur la meteorologie, 
le trafic, la bourse, etc). Les messages chiffres par cette plate-forme pourront etre 
diffuses vers une adresse specifique (vers un destinataire unique identifie par son 
adresse, ou « Capcode ») ou bien vers une adresse generique, afin etre re?us par tous 

15 les messageurs cales sur la frequence de Poperateur emetteur du message (systeme 
« broadcast »). 

Elle peut encore avoir pour fonction d' assurer le suivi et la gestion des cles 
secretes qui serviront a chiffrer les messages avant leur emission et a les dechiffrer a 
leur reception par le messageur. Au niveau du messageur, ces cles secretes seront 

20 stbckees dans le module de securite applicatif. II pourra exister deux classes de cles 
secretes : des cles secretes uniques, propres a cbaque module de securite, et une cle 
secrete generique, unique et commune a tous les modules de securite contenus dans 
tous les messageurs d 5 un operateur donne. La plate-forme pourra eventuellement 
generer de nouvelles cles secretes qui seront envoyees de fafon securisee par voie 

25 radio pour etre chargees dans le module de securite. 

Elle peut encore avoir pour fonction d s assurer le suivi du profil de chaque 
utilisateur. Chaque utilisateur pourra selectionner aupres de son operateur une liste de 
services auxquels il souhaite avoir acces. Cette information constituent le profil de 
Tabonne, et ce profil pourra conditionner V acces a certaines informations payantes 

30 (Pabonne pouira ainsi decider de ne pas recevoir dans son messageur d* informations 
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concemant un ou plusieurs sujet(s) donne(s)). Le profil de chaque abonn6 sera archive 
dans la plate- forme de formatage des messages au niveau du reseau ainsi que dans une 
zone de memoire du module de securite applicatif. Le module de securite applicatif 
realise le filtrage des messages de service en fonction du profil-utilisateur qu'il 
contient. Ce profil contenu dans le module de securite applicatif pourra etre mbdifie a 
distance par operateur grace a des commandes executables par voie radio depuis la 
plate-forme de formatage. 

Elle peut encore avoir pour fonction d'assurer le rechargement securise a 
distance (par voie radio) d'un compteur contenu dans une zone de memoire du module 
de securite utilise dans le messageur. Le compteur pourra etre rechargd a distance par 
renvoi de messages executables emis depuis la plate-forme de formatage. • 

Elle peut egalement avoir la fonction d' assurer le suivi et la roise a jour des 
mwius applicatifs affiches a l'ecran du messageur et stockes dans une zdne de 
memoire du module de securite. Differents menus et options pourront etre affiches a 
l'ecran du messageur (voir modification numero 2 ci-dessous) Ces menus pourront 
etre controles et modifies depuis la plate-forme de formatage contenue dans le reseau 
d 5 emission des messages radio. 

Modification 2: 

Comme indique dans la deinande de brevet precitee, le messageur pourra 
contenir un module de securite applicatif. Ce module de securite applicatif pourra 
remplir les fonctions suivantes enumerees ci-apres dans Putilisation du messageur. 

II peut contenir, dans sa zone de memoire, un compteur rechargeable d'unites 
financieres. La valeur financiere contenue dans ce compteur pourra etre affichee et 
consultee a tout moment par Putilisateur du messageur. 

Le rechargement du compteur peut se faire : 

- soit par Tinsertion d'une carte a puce (a microprocesseur ou a memoire) dans 
le messageur, comme cela est d6crit dans le brevet principal. La carte servant a 
recharger la valeur du compteur contenu dans le module de securite pourra etre inseree 
en permanence dans le messageur ou uniquement de fa^on momentanee, le temps de 
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transferer une valeur financiere donnee de la carte vers le compteur du module de 
securite. 

- soit a distance, par voie radio, en envoyant depuis la plate-forme de 
formatage une commande de rechargement du compteur contenu dans le module de 
5 securite. Cette commande sera chiffree par la plate-forme de formatage a T aide d'une 
des cles secretes contenues dans la base de donnees des cles secretes et sera dechiffree 
dans le module de securite a 1' aide de la meme cle, contenue dans sa zone de memoire. 

Le module de securite peut contrdler Tacces de messages chiffres. Les 
messages envoyes a travers la plate-forme de formatage pourront etre chiffres avant 
10 leur emission (comme decrit dans la Modification 1) et stockes soit dans la memoire 
du messageur, soit dans la memoire du module de securite. Ges messages pourront etre 
des messages prives ou bien des messages d'infqrmation generale (messages 
d'information dits communement message de Service a Valeur Ajoutee). 

Les messages prives peuvent etre automatiquement dechiffres par le module de 
15 securite (ou par le messageur a l'aide des cles secretes contenues dans le module de 
securite) puis affiches apres que le module de securite ait debite la valeur dudit 
message dans son compteur. Dans ce cas, si le credit du compteur est inferieur a la 
valeur du message, le message pourra etre stocke sous forme chiffree dans la memoire 
du messageur ou dans la memoire du module de securite, sans avoir ete prealablement 
20 affiche. 

Les messages prives peuvent etre egalement decleneh^s, des leur reception 
dans le messageur, un signal d'avertissement pour l'utilisateur qui aura alors la 
possibilite de consulter ledit message (et done de f aire deduire son prix de la valeur 
contenue dans le compteur du module de securite) ou bien de le refuser, et de 1' effacer 
25 de la memoire du messageur (ou du module de securite) sans avoir etc consulte. Dans 
ce dernier cas, la valeur du message n'est pas debitee du compteur contenu dans le 
module de securite. 

Les messages d'information generale (messages de Service a Valeur Ajoutee) 
seront stockes des leur reception sous leur forme chiffree soit dans la memoire du 
30 messageur, soit directement dans la memoire du module de securite. Certains de ces 



CIO. <WO 9941881A1J_> 



WO 99/41881 



7 



PCT/FR99/00290 



messages pourront contenir un ordre d'effacement de messages deja stockes (par 
exemple s'il s'agit de Pactualisation d'une rubrique deja contenue en memoire). Ces 
messages d' information pourront contenir une partie de texte non chiffree et affichable 
permettant a Putilisateur de connaitre le type d' information contenue (resultat sportif, 
5 tirage du loto, etc .). 

L'entete du message pourra indiquer le type du message (categorie) ainsi que 
son prix de consultation. Lorsque Putilisateur souhaitera consulter une de ces 
informations generales contenues dans la memoire du messageur ou du module de 
securite, il pourra alors (a travers Pinterface utilisateur du messageur) donner Pordre 

10 au messageur de dechif&er son contenu. Le prix du message sera d'abord debite de la 
valeur du compteur contenu dans le module de securite, et le message sera dechiffre 
soit par le messageur (a Paide de la cle secrete generique contenue dans le module de 
securite), soit par le module de securite lui meme. Le message dechiffre pourra Stre 
stocke soit dans la memoire du messageur, soit dans la memoire du modxile de 

15 securite. 

Le module de securite peut contenir le profil de Putilisateur tel que celui-ci 
aura ete defini au prealable (au moment de la demande d'abonnement par exemple). 
Le profil de Putilisateur permettr a de filtrer les informations generales refues et 
d'eviter un encombrement de la memoire disponible avec deis informations sans interet 

20 pour Putilisateur. Ainsi, si Putilisateur n' est pas interesse par un type d'informatibn 
donne, par exemple : les informations financieres, to\is les messages d^information 
generale diffuses sous cet intitule (qui apparait dans Pen-tete du message, comme 
decrit dans le point precedent) ne seront pas stockes en memoire. Comme vu dans la 
Modification 1> le profil d'utilisateur pourra etre modifie a distance par Penvoi de 

25 connnandes a distance dans le module de securite depuis la plate-forme de formatage. 

Le module de securite peut contenir dans sa zone de memoire, toutes les 
informations necessaires a la personnalisation du messageur. Eh effet, dans le cas ou le 
module de securite est prevu sous une forme extractible (par exemple : une carte a 
puce ou « mini-carte a puce » au format ID-000), le messageur pourra etre fabrique et 

30 distribue sous une forme completement generique. Aucune information specifique ne 
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sera contenue dans sa memoire (aucun numero de serie, adresse de frequence, 
« capcode » ne seront necessaires). Les informations permettant de Her ce messageur a 
un operateur particulier (adresse de la frequence d' operation, « capcodes ») seront 
integralement contenues dans le module de securite. Le messageur deviendra un 

5 produit totalement anonyme qui pourra etre distribue directement par le fabricant, sans 
avoir a passer par une etape de programmation de la memoire (destinee a faire 
fonctionner le messageur sur un reseau donne, pour un operateur donne). L'utilisateur, 
qui aura obtenu de son operateur un module de securite extractible lors de son 
abonnement (par exemple, une carte a puce ou « mini-carte a puce »), n' aura plus qu'a 

10 inserer le module en question dans le messageur generique pour rendre ce dernier 
operatoire sur le reseau de son operateur. 

Le module de securite peut egalement contenir le detail des menus accessibles 
depuis 1' interface utilisateur du messageur. Ces menus pourront etre modifies a 
distance par P envoi par voie radio de commandes executables dans le module de 

15 securite. 

L'invention a egalement pour objet de proposer un procede permettant de 
savoir si rutilisateiir utilise regulierement son messageur, et done s'acquitte 
financierement du service. Comme il est probable que le messagexrr soit donne 
gratuitement ou a un prix reduit, il est sbuhaitable en cas de npn utilisation, de pouvoir 

20 le recuperer ou du moins interdire un quelconque usage. Ceci est necessaire du fait du 
principe de fonctionnement xuiidirectionnel des messageurs. * 

Selon d'autres caracteristiques, on peut inciter I'utilisateur a effectuer un 
rechargement d'unites periodiquement aupres d'xm centre de service par exemple sur 
communication d'un identifiant A cet effet, on peut envoyer un message 

25 d'avertissement demandant a Putilisateur de recharger ou de faire une action 
quelconque. Alternativement, sans avertissement, Putilisateur sait qu'il doit recharger 
une somme minimale periodiquement, 

Pour realiser cette fonction, il est prevu que le centre de service cbmporte des 
moyens informatiques pour tenir a jour un indice ou une table de consommation 

30 periodique par messagexir.et/ou utilisateur. 
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Ces moyens informatiques ont la capacite de commander V arret ou le 
fonctionnement du messageur en cas de demande de rechargement insuffisant par 
unite de temps etabli par chaque indice ou pour toute autre raison. Ces moyens 
informatiques ont egalement la capacite d'empecher momentanement T usage du 
5 messageur pendant une phase de rechargement ou de reconfiguration. 
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REVINDICATIONS 
1 . Precede pour le controle de 1' utilisation d'un service d'information emis par 
une plate-forme centrale emettrice a destination de messageurs fonctionnant a l'aide 
d'un corapte d'unite de credit, ledit service consistent en remission d'information 
5 sous forme de messages, caracterise en ce qu'il comporte les etapes suivantes selon 
lesquelles: 

- on chiffre au moins en partie l'information prealablement a remission, 

- on diffuse l'information chiffree dans un message comportant l'adresse d'un 
groupe de messageurs, 

10 - on recoit et stocke le message en fonction d'un profil d'utilisateur contenu 

dans le messageur et/ou une carte utilisateur (PSIM) 

- on dechiffre et visualise au moins une partie du message a condition de 
pouvoir debiter d'un montant correspondant ledit compte d'unites contenu dans une 
carte ou dans le messageur. 

15 2. Procede selon la revendication 1 , caracterise en ce qu'il comprend une etape 

selon laquelle on effectue une reconfiguration du messager et/ ou de la carte 
d'utilisateur (PSIM), en particulier du profil utilisateur par remission de commandes 
executables de reconfiguration par voie radio a partir de iadite plate-forme centrale. 

3. Procede selon l'une des fevendicatipns precedentes, caracterise en ce que 
20 pour chaque messageur, on utilise au moins deux cles de chiffrement, une cle secrete 

generique partagee par tous les messageurs pour le chiffrement et decbiffrement des 
messages, et une cle personnelle prppre a chaque utilisateur pour cbiffrer et decbiffrer 
des commandes executables de reconfiguration et/ou rechargement d'unites. 

4. Procede selon l'une des revendications precedentes, caracterise en ce que 
25 1' on porte a la connaissance de l'utilisateur, en particulier par affichage, une partie non 

chiffree du message tandis que 1' autre partie chiffree est stockee. 

5. Procede selon l'une des revendications precedentes, caracterise en ce que le 
message comporte une entete comprenant son prix et sa categorie pour classifier le 
message et son prix a l'aide d'une table de services d'information (SAV) disponible en 

30 permanence dans le messageur. , 
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6. Precede selon Tune des revendications precedentes, caracterise en ce que la 
plate-forme est apte a generer de nouvelles cles secretes generiques et/ou cle 
personnelle et a les transmettre de fa^on securisee par voie radio pour etre chargees 
dans un module de securite (PSAM) de chaque message et/ou carte d' utilisateur. 

7. Precede selon Tune des revendications precedentes, caracterise en ce que 
chaque profil utilisateur est stocke dans la plate-forme centrale ainsi que dans le 
module de securite du messageur et/ou carte d'utilisateur (PSIM). 

8. Procede selon Tune des revendications precedentes, caracterise en ce que les 
messages chiffres sont d'abord stockes dans une memoire du messageur, puis sur 
demande de Tutilisateur transfere au PSIM pour dechiffrement, puis delivres 
dechiffres a 1' utilisateur, ledit compte etant debite avant le dechiffrement par le PSIM. 

9. Procede selon l'une des revendications precedentes, caracterise en ce que le 
rechargement d'unites est effectue sur demande periodique de Tutilisateur aupres d'un 
centre de service et sur communication d'un identifiant 

10. Procede selon Tune des revendications precedentes, caracterise en ce que le 
centre de service tient a jour un indice/table de consbmmation periodique par 
messageur et/ou par utilisateur. 

11. Procede selon Tune des revendications precedentes, caracterise en ce que 
l*on conrmande V arret ou le fonctionnement du messageur en cas de demande de 
rechargement insuffisant par unite de temps etabli par chaque indice. 
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